Vmware Server auf 1und1 winroot

[DON-donnes]

erst mal HI,

nachdem ich jetzt seit gut 3 tagen sämtliche suchmaschinen durchgewälzt habe bin ich iwann hier gelandet habe jedoch für mein problem noch keinen wirklichen lösungsansatz gefunden, und das lässt mich schier verzweifeln =(...

mal zum sachlage


Gegeben:

Ser: Root server @ 1n1 winserver2003 (64)
IP1 : 87.xxx.xxx.xxx
IP2 : 212.xxx.xxx.xxx
VM : VMware server 1.0.4 (KEIN bridge möglich da 1n1 kundenunfreundlich ist)

IP1 ist dem eigendlichen root zugewiesen was auch ohne probs funzt!
nun würden wir gerne eine VM istalieren um einen weiteren win2k3 aufzusetzten für diverse mediadienste.
Dafür soll die IP2 verwendet werden.

sprich. ruft mann IP1 1 auf kommt mann auf des http verzeichnis was vom apache2 gehandelt wird..
ruft mann IP2 auf soll mann schlicht weg auf den VM weitergeleitet werden!

Per NAT sollte das möglich sein dabei liegt das problem in den incomming geschwindigkeit zum VM.. deswegen bleibt nur Die Host only...

Nun wissen wir leider nicht expliziet wie das ganze auf ner win basis ohne weiteres umusetzten ist!
Ichn würde mich freuen wenn ihr uns ein paar lösungs, -denk anstöße geben könntet damit wir das so realisieren können, wenn das ohne bridge überhaupt möglich ist!

Lg DON.donnes

[continuum]

Vmnet8 oder vmnet1 - bzw NAT oder hostonly macht keinen performance-unterschied.
Beides ist gleich implementiert - nur bei NAT laeuft halt noch ein service mehr

[DarkRoot]

Ich habe genau das gleiche Problem.
Fragt mich nicht warum, aber das vmware NAT IST um einiges langsamer als wenn ich das NAT mit iptables im host mache. MIt FTP z.B. bekomm ich bei vmware NAT nicht mehr als 50kb/s, warum auch immer. Habe jetzt solange mit IPtables rumgefummelt bis das NAT da lief, und ich bekomme 350kb/s (Leitungslimit).
Das löst aber nicht das eigentliche Problem, nämlich dass die 2. IP direkt auf die VM verweisen soll.
Hat es denn hier jemand hinbekommen, mit IPTables das forwarding so einzustellen, dass alles was an IP X (auf eth0:1) adressiert war, an IP Y (vmnet2) weitergeleitet wird?

Danke schonmal.

[rprengel]

erst mal HI,

nachdem ich jetzt seit gut 3 tagen sämtliche suchmaschinen durchgewälzt habe bin ich iwann hier gelandet habe jedoch für mein problem noch keinen wirklichen lösungsansatz gefunden, und das lässt mich schier verzweifeln =(...

mal zum sachlage


Gegeben:

Ser: Root server @ 1n1 winserver2003 (64)
IP1 : 87.xxx.xxx.xxx
IP2 : 212.xxx.xxx.xxx
VM : VMware server 1.0.4 (KEIN bridge möglich da 1n1 kundenunfreundlich ist)

Frage 1
Warum geht das nicht. Warum ist brideg nicht möglich?
Frage 2
Warum wechselst du dann nicht zu einem Dienstleister der das liefert was du benötigst.

Ich habe bei Hetzner ein sehr ähliches Szenario laufen.
IP 1 für den Host
IP 2 für eine virtuelle Firewall die an die virtuellen Systeme durchreicht die alle Host-Only laufen.

Gruß

[DarkRoot]

1) Weil der ISP die MAC Adressen filtert und man nicht 2 MAC Adressen auf einen Netzwerkport legen kann, nennt sich Mac-Spoofing Verhinderung mein ich. Oder so.
2) Weil es woanders vielleicht Angebote gibt, die besser auf die Bedürfnisse/den Geldbeutel von jemandem zugeschnitten sind? Eventuell hast du ja auch schonmal etwas von Mindesvertragslaufzeitebn gehört.

Warum wird einem eigentlich andauernd versucht das auszureden was man vorhat?

[rprengel]

1) Weil der ISP die MAC Adressen filtert und man nicht 2 MAC Adressen auf einen Netzwerkport legen kann, nennt sich Mac-Spoofing Verhinderung mein ich. Oder so.
2) Weil es woanders vielleicht Angebote gibt, die besser auf die Bedürfnisse/den Geldbeutel von jemandem zugeschnitten sind? Eventuell hast du ja auch schonmal etwas von Mindesvertragslaufzeitebn gehört.

Warum wird einem eigentlich andauernd versucht das auszureden was man vorhat?

Mir ging es nur darum zu verstehen wo das Problem liegt. Abgesehn davon gibt es Themen wo man einfach erkennen muß das man verloren hat.
Die Macs der Netzwerkkarten mittels Tools zu "faken" dürfte auch nichts bringen da dann schnell der Host nicht mehr erreichbar sein dürfte.
Ausserdem könnte das dein Provider schnell in den falschen Hals bekommen.
Privat mag die Tüftelei ja noch nachvollziehbar sein aber aber im geschäftlichen Umfeld kommst du ziemlich schnell an den Punkt an dem die Kosten für die Arbeitszeit die Kosten für einen anderen Provider übersteigen. Das wird gerne und schnell ausgeblendet wobei es natürlich "böses " Geld ist das dann den Bach runter geht.
Abgesehn davon das nicht klar ist wie zuverlässig ein eventueller Workaround langfristig funktioniert.

Gruß

[DarkRoot]

Gut, hab ich wohl missverstanden.
Aber wer spricht von geschäftlich? ich kann natürlich nicht für den Threadöffner sprechen, aber bei mir ist es private Tüftelei. Und nach 2 Tagen Googlen über IPTables/NAT/Forwarding/Maquerading komme ich einfach nicht weiter.
NAT funktioniert, IP Weiterleitung nicht.
Und wenn es nicht geht, isses auch nich so schlimm. Wär aber schöner so.
Es geht nicht ums Mac faken, sondern dass die VM ne eigene Mac adresse hat. Und die ist im Switch logischerweise nicht freigeschaltet.

[rprengel]

Gut, hab ich wohl missverstanden.
Aber wer spricht von geschäftlich? ich kann natürlich nicht für den Threadöffner sprechen, aber bei mir ist es private Tüftelei. Und nach 2 Tagen Googlen über IPTables/NAT/Forwarding/Maquerading komme ich einfach nicht weiter.
NAT funktioniert, IP Weiterleitung nicht.
Und wenn es nicht geht, isses auch nich so schlimm. Wär aber schöner so.
Es geht nicht ums Mac faken, sondern dass die VM ne eigene Mac adresse hat. Und die ist im Switch logischerweise nicht freigeschaltet.

Ist ok.
ich denke der Thrad wird dem einen oder anderen beid er Auswahl und Planung helfen.
Da habe ich mit Hetzner schlciht und einfach Glück gehabt. Das Thema hatteich damals nicht auf dem Schirm.

Gruß

[DarkRoot]

Gut, hätten wir das geklärt.
Wobei dir Frage bleibt, warum das per VMware NAT so deutlich langsamer ist als wenn mans aufm Host mit IPTables macht.
Falls es jemanden interessiert, hier mal mein bisheriges NAT Script

Code: Alles auswählen

#!/bin/sh
INTIF="vmnet1" #Internes Interfacew (VMware)
EXTIF="eth0" #Externes Interface (Internet)
INTIP="172.16.81.128" #Interne IP (VMware)
INTIF2="vmnet2" # Internes 2. VMware Interface (2 versch. Netzwerke)
INTIP2="172.16.71.128" # Interne 2. IP
EXTIP="85.214.xx.xx" #Externe IP 1
EXTIP2="85.214.xx.xx" # Externe IP 2
echo "Loading required stateful/NAT kernel modules..."

/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

echo "    Enabling IP forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# Clearing any existing rules and setting default policy
iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -F sperre
iptables -t nat -F

# FWD: Allow all connections OUT and only existing and related ones IN
iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT


iptables -A FORWARD -i $EXTIF -o $INTIF2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF2 -o $EXTIF -j ACCEPT

# Enabling SNAT (MASQUERADE) functionality on $EXTIF
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

#------------------------------------------------------------------------------------


# acceptstuff #
###############
iptables -A sperre -p tcp --dport 21 -j ACCEPT # ftp
iptables -A sperre -p tcp --dport 22 -j ACCEPT # SSH
iptables -A sperre -p tcp --dport 80 -j ACCEPT # http
iptables -A sperre -p tcp --dport 993 -j ACCEPT #IMAP SSL
iptables -A sperre -p tcp --dport 143 -j ACCEPT #IMAP
iptables -A sperre -p tcp --dport 110 -j ACCEPT #POP3
iptables -A sperre -p tcp --dport 995 -j ACCEPT #POP3 SSL
iptables -A sperre -p tcp --dport 25 -j ACCEPT # SMTP
iptables -A sperre -p tcp --dport 3389 -j ACCEPT # RDP für w2k3
iptables -A sperre -p tcp --dport 902 -j ACCEPT # vmware interface
iptables -A sperre -p tcp --dport 27021 -j ACCEPT # XXX
iptables -A sperre -p tcp --dport 58000:58010 -j ACCEPT # -> vm: w2k3
iptables -A sperre -p tcp --dport 60000:60010 -j ACCEPT # -> vm: horus

# Antworten zulassen #
######################
iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT

# Alles andere abweisen
#######################################
iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset
iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable

# sperre aktivieren #
#####################
iptables -A INPUT -j sperre
iptables -A FORWARD -j sperre
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT # output immer annehmen
iptables -P OUTPUT ACCEPT -t nat

# Outgoing
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

#vmnet2
iptables -A FORWARD -i $EXTIF -o $INTIF2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $INTIF2 -o $EXTIF -j ACCEPT


# NAT #
#######
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird maskiert
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 58000:58010 -j DNAT --to $INTIP # -> vmnet1
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 60000:60010 -j DNAT --to $INTIP2 # -> vmnet2
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to $INTIP # -> rdp w2k3
#iptables -A PREROUTING -t nat -d $EXTIP -j DNAT --to-destination $INTIP

#DAS HIER FUNKTIONIERT NICHT!
#iptables -A PREROUTING -t nat -d $EXTIP2 -j MASQUERADE
#iptables -A PREROUTING -t nat -d $EXTIP2 -j DNAT --to-destination $INTIP

echo "Firewall started"


Kann sein, dass da einiges doppelt und unnötig ist, aber mir fehlt da noch der durchblick. Hab das Script auf verschiedenen Seiten "zusammengeklaut". Zumindest funktionierts, um Ports an die internen vmnet itnerfaces weiterzuleiten.

Achtung:
Das script in /etc/init.d/ tun (debian) und dann in /etc/rc2.d/ linken. Somit wird garantiert, dass die Regeln beim boten geladen werden. Nach einem neustart werden die Regeln nämlich gelöscht. Das Script kann man nach jeder Änderung einfach in der Shell ausführen, die vorherigen Regeln werden an der entsprechenden Stelle im script einfach gelöscht.

[DarkRoot]

Habs übrigens hinbekommen, falls wer danach googelt.

Code: Alles auswählen

#!/bin/sh
echo "Setting variables"
EXTIF="eth0" #Externes Interface (Internet)
INTIP="192.168.84.128" #Interne IP (VMware)
#EXTIP="85.214.102.xxx" #Externe IP 1 (braucht hier nicht stehen, ist nur zur Verdeutlichung)
EXTIP2="81.169.136.xxx" # Externe IP 2

echo "  Loading required stateful/NAT kernel modules..."
/sbin/depmod -a
/sbin/modprobe ip_tables
echo "  Enabling IP forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "  Flushing all Chains and setting default policies"
iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD ACCEPT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

echo "  Redirecting second IP Address to VM"
iptables -t nat -A PREROUTING -d $EXTIP2 -j DNAT --to $INTIP
iptables -t nat -A OUTPUT -d $EXTIP2 -j DNAT --to $INTIP

echo "Firewall started"

Das wars schon.
Das Skript packt ihr in /etc/init.d/firewall und linkt es in die Verzeichnisse, damit es beim botten geladen wird:

Code: Alles auswählen

update-rc.d firewall defaults

[bruno78]

Ich habe dasselbe Problem unter Windows Server 2008, ich möchte eine zweite IP bei 1und1 in der VMWare nutzen. Problem: Sie kann nur im Host eingetragen werden, da sie unmittelbar an die Mac-Adresse des Hosts gebunden ist und man bei 1und1 eine Portsperre verpasst bekommt, wenn man mit einer weiteren Mac-Adresse verbinden möchte.

Also muss ich im host-only mode den kompletten Traffic zwischen der VMWare und der zweiten, eingetragenen ip routen. Da ich mich damit nur grob auskenne und nichts am Server zerschießen möchte, bitte ich euch um Hilfe. Vielleicht hat jemand das auch machen müssen und kann die Routing-Einträge zwischen zweiter, externer IP und einer VMWare anhand eines Beispiels angeben.

Bei hetzner ist das viel einfacher, da man für jede zusätzliche IP eine Mac-Adresse beantragen kann für VMWare, so dass man die IP direkt dort eintragen kann